Estoy analizando el estándar IPsec y me di cuenta de que la verificación de la integridad y la autenticación de los datos se basa en una versión truncada de 96 bits de los algoritmos HMAC. Por ejemplo, en IPsec v3 podemos usar HMAC-MD5-96, HMAC-SHA-1-96, AES-XCBC-MAC-96. ¿Cuál es la razón detrás de esta elección?
Para obtener la respuesta a esta pregunta, consulte RFC 2104 , em mine:
Una práctica bien conocida con códigos de autenticación de mensajes es la de
truncar la salida del MAC y emitir solo parte de los bits
(por ejemplo, [MM, ANSI]). Preneel y van Oorschot [PV] muestran algunos
ventajas analíticas de truncar la salida de MAC basado en hash
funciones Los resultados en esta área no son absolutos como para el
Ventajas generales de seguridad del truncamiento. Tiene ventajas (menos
información sobre el resultado de hash disponible para un atacante) y
Desventajas (menos bits para predecir para el atacante). Aplicaciones
de HMAC puede optar por truncar la salida de HMAC emitiendo la t los bits más a la izquierda del cálculo HMAC para algún parámetro t (a saber,
el cálculo se realiza de la manera normal, tal como se define en la sección 2
arriba, pero el resultado final se trunca a t bits). Recomendamos que
la longitud de salida t no debe ser inferior a la mitad de la longitud del hash
Salida (para coincidir con el límite de ataque de cumpleaños) y no menos de 80 bits (un límite inferior adecuado en el número de bits que deben ser
predicho por un atacante). Proponemos denotar una realización de HMAC. que utiliza una función hash H con t bits de salida como HMAC-H-t. Para
por ejemplo, HMAC-SHA1-80 denota HMAC computado usando la función SHA-1
y con la salida truncada a 80 bits. (Si el parámetro t no es especificado, por ejemplo HMAC-MD5, entonces se asume que todos los bits de la los hash son de salida.)
El truncamiento también reduce la cantidad de datos transmitidos a través del cable, por lo que se reducen los requisitos de ancho de banda.